Согласно отчету, десятки компаний из списка Fortune 100 невольно наняли северокорейских ИТ-работников
Кадры

Согласно отчету, десятки компаний из списка Fortune 100 невольно наняли северокорейских ИТ-работников

Трудно представить большую ошибку при найме.

Google сообщила, что недавно с ней связались несколько крупных американских компаний, которые обнаружили, что они неосознанно наняли северокорейцев, используя поддельные удостоверения личности для удаленных ИТ-ролей.

В отчете, опубликованном в понедельник подразделением компании Mandiant, исследователи описывают распространенную схему, организованную группой, которую она отслеживает, как UNC5267, которая действует с 2018 года. В большинстве случаев ИТ-работники “состоят из лиц, отправленных правительством Северной Кореи жить в основном в Китай и Россию, с меньшим количеством в Африку и Юго-Восточную Азию”.

Цель состоит в том, чтобы работники получали зарплату в нескольких компаниях, принося доход правительству Северной Кореи, и получали ключевой доступ к американским технологическим фирмам, которые могут быть использованы для дальнейших кибератак или вторжений.

Удаленные работники “часто получают повышенный доступ для модификации кода и администрирования сетевых систем”, – обнаружил Мандиант, предупреждая о последствиях допущения злоумышленников во внутреннее святилище компании.

Чарльз Кармакал, технический директор Mandiant, заявил в своем заявлении, что он разговаривал с “десятками организаций из списка Fortune 100, которые случайно наняли северокорейских ИТ-работников”.

“Северокорейские ИТ-работники часто работают на нескольких должностях в разных организациях одновременно, и у них часто есть расширенный доступ к производственным системам или возможность вносить изменения в исходный код приложений”, – сказал Кармакал.

“Есть опасения, что они могут использовать этот доступ для внедрения бэкдоров в системы или программное обеспечение в будущем. Каждая организация из списка Fortune 100 должна задуматься об этой проблеме”.

Кофеин и серийные номера

Используя украденные или вымышленные удостоверения личности, актеры обычно нанимаются в качестве удаленных подрядчиков. Mandiant видел, как работников нанимали на различные сложные роли в нескольких секторах. Некоторые работники работают в нескольких компаниях, получая несколько зарплат каждый месяц.

Этой тактике способствует некто из США, который управляет фермой ноутбуков, куда отправляются ноутбуки сотрудников. На ноутбуках установлены удаленные технологии, позволяющие северокорейцам входить в систему и выполнять свою работу из Китая или России.

Министерство юстиции за последние месяцы арестовало и предъявило обвинения нескольким гражданам США за управление этими фермами ноутбуков и в одном случае нашло американца, который использовал 60 украденных удостоверений личности для облегчения трудоустройства северокорейцев в более чем 300 компаниях США. С октября 2020 по октябрь 2023 года работники заработали не менее 6,8 миллионов долларов.

Работники обычно просили отправить их рабочие ноутбуки не по тем адресам, которые указаны в их резюме, что вызывало подозрения компаний.

Mandiant заявила, что обнаружила доказательства того, что ноутбуки на этих фермах подключены к устройству “клавиатура-видео-мышь” или нескольким инструментам удаленного управления, включая LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer и другие.

“Отзывы членов команды и менеджеров, которые общались с Mandiant во время расследований, неизменно подчеркивали модели поведения, такие как нежелание участвовать в видеосвязи и качество работы ниже среднего, продемонстрированное ИТ-работником из КНДР, удаленно управляющим ноутбуками”, – сообщает Mandiant.

В ходе нескольких мероприятий по реагированию на инциденты Mandiant обнаружил, что работники использовали те же резюме, в которых содержались ссылки на сфабрикованные профили инженеров-программистов, размещенные на Netlify, платформе, часто используемой для быстрого создания и развертывания веб-сайтов.

Многие резюме и анкеты содержали плохой английский и другие намеки , указывающие на то , что актер проживал не в США .

Одной из характерных особенностей, которые неоднократно наблюдались, было использование адресов из США в сопровождении документов об образовании, полученных в университетах за пределами Северной Америки, часто в таких странах, как Сингапур, Япония или Гонконг. Компании, по словам Мандьянта, обычно не проверяют документы, полученные в зарубежных университетах.

Мандиант призвал компании проводить более строгие проверки биографических данных, требовать интервью перед камерой, требовать нотариально заверенные документы, удостоверяющие личность, и проверять, совпадает ли местоположение ноутбука с адресом работника.

Компаниям также следует рассмотреть возможность мониторинга и запрета использования инструментов удаленного администрирования, VPN-сервисов и программного обеспечения для управления мышью, такого как Caffeine. Один из предложенных Мандиантом трюков заключается в том, чтобы попросить работников произнести серийный номер ноутбука вслух во время ЕГО установки в качестве теста.

Главный аналитик Mandiant Майкл Барнхарт сказал, что его больше всего беспокоит то, что происходит, когда работники наняты достаточно надолго, чтобы они могли начать широкомасштабные атаки на организацию.

“Эти ИТ-работники могли бы завтра легко получить инструкции по развертыванию программ-вымогателей и одновременно очень быстро вывести из строя крупные организации по всей территории США и Европы, если бы захотели”, – сказал он.

Впредыдущих рекомендациях правоохранительных органов США говорилось, что некоторые из работников зарабатывают до 300 000 долларов в год, что в совокупности приносит сотни миллионов для северокорейского режима и его программ создания вооружений.

В марте 2024 года несколько федеральных правоохранительных органов выступили с инициативой, направленной на закрытие ферм по производству ноутбуков в США.

Официальные лица США ранее закрыли 17 доменов веб-сайтов и конфисковали 1,5 миллиона долларов в прошлом году в ходе операции, направленной против инфраструктуры, используемой правительством Северной Кореи для облегчения схемы с ИТ-работниками.

В прошлом году Министерство финансов США объявило о санкциях в отношении четырех организаций, в которых работают тысячи северокорейских ИТ-работников, которые помогают незаконно финансировать программы режима по ракетам и оружию массового уничтожения.

По крайней мере, одна американская компания — гигант кибербезопасности KnowBe4 — признала, что наняла работника в прошлом году, который, как позже выяснилось, был частью той же северокорейской схемы.

admin
Author: admin